Министерство промышленности и информатизации КНР (Ministry of Industry and Information Technology, MIIT) приостанавливает на шесть месяцев сотрудничество с облачным сервисом Alibaba – сотрудники компании предупредили об обнаружении серьёзной уязвимости Log4j в первую очередь американскую организацию, а потом уже государство, в юрисдикции которого компания работает, пишет в среду South China Morning Post.
О выявленной уязвимости стало известно 9 декабря, обнаружил её сотрудник ИБ-подразделения Alibaba. Он известил об этом первым разработчика инструмента Log4j – американскую Apache Foundation, связавшись с ней по электронной почте 24 ноября.
Однако законодательство КНР предусматривает, что первыми об обнаружении уязвимости должны были узнать власти. По прошествии шести месяцев MIIT решит, стоит ли возобновлять сотрудничество с подразделением Alibaba. Решение будет зависеть от того, «какие меры компания предпримет для устранения проблемы».
Напомним, ИБ-специалисты заявили о серьёзной опасности уязвимости Log4j. Её успешная эксплуатация на одном из компьютеров системы потенциально позволяет захватить контроль над всей системой, а атаку может провести даже неопытный хакер.
В этой связи министерство внутренней безопасности США (Department of Homeland Security, DHS) объявило о запуске программы, предусматривающей выплату вознаграждения хакерам за выявление уязвимостей в компьютерных сетях DHS.